linux开启审计进程,系统运维|Auditd-Linux 服务器安全审计工具
首先,Linux中国祝贺读者 2015羊年春节快乐,万事如意! 。下面开始这个新年版审计工具的介绍。
安全防护是首先要考虑的问题。为了避免别人盗取我们的数据,我们需要时刻关注它。安全防护包括很多东西,审计是其中之一。
我们知道Linux系统上有一个叫 auditd 的审计工具。这个工具在大多数Linux操作系统中是默认安装的。那么auditd 是什么?该如何使用呢?下面我们开始介绍。
什么是auditd?
auditd(或 auditd 守护进程)是Linux审计系统中用户空间的一个组件,其负责将审计记录写入磁盘。
安装 auditd
Ubuntu系统中,我们可以使用 wajig 工具或者 apt-get 工具 安装auditd。
按照下面的说明安装auditd,安装完毕后将自动安装以下auditd和相关的工具:
auditctl : 即时控制审计守护进程的行为的工具,比如如添加规则等等。
/etc/audit/audit.rules : 记录审计规则的文件。
aureport : 查看和生成审计报告的工具。
ausearch : 查找审计事件的工具
auditspd : 转发事件通知给其他应用程序,而不是写入到审计日志文件中。
autrace : 一个用于跟踪进程的命令。
/etc/audit/auditd.conf : auditd工具的配置文件。
首次安装 auditd 后, 审计规则是空的。
可以使用以下命令查看:
$ sudo auditctl -l
以下我们介绍如何给auditd添加审计规则。
如何使用auditd
Audit 文件和目录访问审计
我们使用审计工具的一个基本的需求是监控文件和目录的更改。使用auditd工具,我们可通过如下命令来配置(注意,以下命令需要root权限)。
文件审计
$ sudo auditctl -w /etc/passwd -p rwxa
选项 :
-w path : 指定要监控的路径,上面的命令指定了监控的文件路径 /etc/passwd
-p : 指定触发审计的文件/目录的访问权限
rwxa : 指定的触发条件,r 读取权限,w 写入权限,x 执行权限,a 属性(attr)
目录审计
使用类似的命令来对目录进行审计,如下:
$ sudo auditctl -w /production/
以上命令将监控对 /production 目录 的所有访问。
现在,运行 auditctl -l 命令即可查看所有已配置的规则。
下面开始介绍审计日志。
查看审计日志
添加规则后,我们可以查看 auditd 的日志。使用 ausearch 工具可以查看auditd日志。
我们已经添加规则监控 /etc/passwd 文件。现在可以使用 ausearch 工具的以下命令来查看审计日志了。
$ sudo ausearch -f /etc/passwd
-f 设定ausearch 调出 /etc/passwd文件的审计内容
下面是输出 :
time->Mon Dec 22 09:39:16 2014
type=PATH msg=audit(1419215956.471:194): item=0 name="/etc/passwd" inode=142512 dev=08:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL
type=CWD msg=audit(1419215956.471:194): cwd="/home/pungki"
type=SYSCALL msg=audit(1419215956.471:194): arch=40000003 syscall=5 success=yes exit=3 a0=b779694b a1=80000 a2=1b6 a3=b8776aa8 items=1 ppid=2090 pid=2231 auid=4294967295 uid=1000 gid=1000 euid=0 suid=0 fsuid=0 egid=1000 sgid=1000 fsgid=1000 tty=pts0 ses=4294967295 comm="sudo" exe="/usr/bin/sudo" key=(null)
下面开始解读输出结果。
time : 审计时间。
name : 审计对象
cwd : 当前路径
syscall : 相关的系统调用
auid : 审计用户ID
uid 和 gid : 访问文件的用户ID和用户组ID
comm : 用户访问文件的命令
exe : 上面命令的可执行文件路径
以上审计日志显示文件未被改动。
以下我们将要添加一个用户,看看auditd如何记录文件 /etc/passwd的改动的。
time->Mon Dec 22 11:25:23 2014
type=PATH msg=audit(1419222323.628:510): item=1 name="/etc/passwd.lock" inode=143992 dev=08:01 mode=0100600 ouid=0 ogid=0 rdev=00:00 nametype=DELETE
type=PATH msg=audit(1419222323.628:510): item=0 name="/etc/" inode=131073 dev=08:01 mode=040755 ouid=0 ogid=0 rdev=00:00 nametype=PARENT
type=CWD msg=audit(1419222323.628:510): cwd="/root"
type=SYSCALL msg=audit(1419222323.628:510): arch=40000003 syscall=10 success=yes exit=0 a0=bfc0ceec a1=0 a2=bfc0ceec a3=897764c items=2 ppid=2978 pid=2994 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=4294967295 comm="chfn" exe="/usr/bin/chfn" key=(null)
我们可以看到,在指定的时间,/etc/passwd ** 被root用户(uid =0, gid=0)在/root目录下修改。/etc/passwd 文件是使用/usr/bin/chfn** 访问的。
键入 man chfn 可以查看有关chfn更多的信息。
下面我们看另外一个例子。
我们已经配置auditd去监控目录 /production/ 了。这是个新目录。所以我们用ausearch去查看日志的时候会发现什么都没有。
下一步,使用root账户的ls命令列出 /production/ 下的文件信息。再次使用ausearch后,将会显示一些信息。
time->Mon Dec 22 14:18:28 2014 type=PATH msg=audit(1419232708.344:527): item=0 name="/production/" inode=797104 dev=08:01 mode=040755 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL type=CWD msg=audit(1419232708.344:527): cwd="/root" type=SYSCALL msg=audit(1419232708.344:527): arch=40000003 syscall=295 success=yes exit=3 a0=ffffff9c a1=95761e8 a2=98800 a3=0 items=1 ppid=3033 pid=3444 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=4294967295 comm="ls" exe="/bin/ls" key=(null)
和上一个一样,可以得出root账户使用ls命令访问了/production/目录,ls命令的文件目录是 /bin/ls
查看审计报告
一旦定义审计规则后,它会自动运行。过一段时间后,我们可以看看auditd是如何帮我们跟踪审计的。
Auditd提供了另一个工具叫 aureport 。从名字上可以猜到, aureport 是使用系统审计日志生成简要报告的工具。
我们已经配置auditd去跟踪/etc/passwd文件。auditd参数设置后一段时间后,audit.log 文件就创建出来了。
生成审计报告,我们可以使用aureport工具。不带参数运行的话,可以生成审计活动的概述。
$ sudo aureport
如上,报告包含了大多数重要区域的信息。
上图可以看出有 3 次授权失败。 使用aureport,我们可以深入查看这些信息。
使用以下命令查看授权失败的详细信息:
$ sudo aureport -au
从上图可以看出,由两个用户在特定的时间授权失败。
如果我们想看所有账户修改相关的事件,可以使用-m参数。
$ sudo aureport -m
Auditd 配置文件
我们已经添加如下规则:
$ sudo auditctl -w /etc/passwd -p rwxa
$ sudo auditctl -w /production/
现在,如果确信这些规则可以正常工作,我们可以将其添加到/etc/audit/audit.rules中使得规则永久有效。以下介绍如何将他们添加到/etc/audit/audit.rules中去。
最后,别忘了重启auditd守护程序
# /etc/init.d/auditd restart
或
# service auditd restart
总结
Auditd是Linux上的一个审计工具。你可以阅读auidtd文档获取更多使用auditd和工具的细节。例如,输入 man auditd 去看auditd的详细说明,或者键入 man ausearch 去看有关 ausearch 工具的详细说明。
请谨慎创建规则。太多规则会使得日志文件急剧增大!
本文由 LCTT 原创翻译,Linux中国 荣誉推出
linux开启审计进程,系统运维|Auditd-Linux 服务器安全审计工具相关推荐
- linux设置sfq队列参数,Linux系统运维之Linux高级流量控制工具TC使用方法
Linux系统运维之Linux高级流量控制工具TC使用方法 本文标签: 运维 流量劫持 Linux系统运维之Linux高级流量控制工具TC使用方法, 在做MHA测试的时候,有一个重要的环节就是测试MH ...
- linux系统运维 pdf6,Linux系统运维之系统管理.pdf
<Linux 系统运维之系统管理> Linux系统运维之系统管理 Linux系统运维之系统管理 LLiinnuuxx系系统统运运维维之之系系统统管管理理 UNIXHOT 运维社区 UNIX ...
- Windows系统运维转linux系统运维的经历
2019独角兽企业重金招聘Python工程师标准>>> 开篇之前,首先介绍一下我的背景把:我是一个三线城市的甲方运维.最近,在<Linux就该这么学>书籍的影响下和朋友小 ...
- linux查看python环境_运维笔记linux环境提示python: command not found hello
场景描述: 新部署的容器环境,终端执行python命令,提示没有该命令. 从报错异常可以看出,可能是python环境未安装. 分析思路: 检查python路径: 方式一:type -a python ...
- Linux内外部命令和系统运维
Linux命令是bash命令的子集,位于/bin./sbin./usr/bin目录下,包含文件操作.网络.系统服务等方面,其中/sbin为超级管理员目录,/bin为普通管理员目录,/usr/bin为一 ...
- 计划任务linux时间,系统运维|在 Linux 中怎么使用 cron 计划任务
没有时间运行命令?使用 cron 的计划任务意味着你不用熬夜程序也可以运行. 系统管理员(在许多好处中)的挑战之一是在你该睡觉的时候去运行一些任务.例如,一些任务(包括定期循环运行的任务)需要在没有人 ...
- linux ubuntu 安装ftp,系统运维|如何在 Ubuntu 下安装和配置 FTP 服务器
FTP(文件传输协议)是一个较老且最常用的标准网络协议,用于在两台计算机之间通过网络上传/下载文件.然而, FTP 最初的时候并不安全,因为它仅通过用户凭证(用户名和密码)传输数据,没有进行加密. 警 ...
- linux 命令查看块设备,系统运维|用 Linux blkid 命令查找块设备详情
今天我们将会向你展示如何使用 lsblk 和 blkid 工具来查找关于块设备的信息,我们使用的是一台安装了 CentOS 7.0 的机器. lsblk lsblk 是一个 Linux 工具,它会显示 ...
- Linux脚本免交互,系统运维|sshpass:一个很棒的免交互 SSH 登录工具,但不要用在生产服务器上...
在大多数情况下,Linux 系统管理员使用 SSH 登录到程 Linux 服务器时,要么是通过密码,要么是无密码 SSH 登录或基于密钥的 SSH 身份验证. 如果你想自动在 SSH 登录提示符中提供 ...
最新文章
- html5里可移动线性进度条的类型怎么表示,HTML5触摸事件实现移动端简易进度条的实现方法...
- 《openssl 编程》之文本数据库
- Shell入门(二)之变量
- 【牛客 - 369A】小D的剧场(线性dp)
- 群晖 root_最新群晖DSM7.0降级教程
- mysql union null_mysql – 删除SQL中的SQL JOIN和UNION操作符中的NULL值
- python环境安装opencv_服务器python环境和opencv安装方法
- 一题多解 —— 二项式分布的期望和方差的计算
- 安装与配置Flutter开发环境
- 基于 Flink+Iceberg 构建企业级实时数据湖
- ubuntu 17.x/CentOS 7.x中安装JAVA JDK
- 张宇1000题高等数学 第四章 一元函数微分学的计算
- 计算机应用基础全套课件图文,计算机应用基础教程(全套课件)综述.ppt
- Android多语言切换
- VMware中的三种网络模式
- String字符串类及有关内存分析
- 设计模型之Visitor模式-图书馆管理系统应用C++实现
- 应用bootstrap模板
- Ubuntu18.04美化桌面(主题、图标)
- Ubuntu 16.04 tf-faster-rcnn 在CPU下训练数据